A Project Zero kutatói egy aktívan kihasznált nulladik napi biztonsági rést találtak, amely veszélyezteti a Google Pixel eszközöket és másokat! Olvass tovább!
Frissítés 10/10/19, 3:05 ET: A nulladik napi Android biztonsági rést a 2019. október 6-i biztonsági javítással javították. További információkért görgessen az aljára. A 2019. október 6-án megjelent cikk az alábbiak szerint megmarad.
A biztonság volt az egyik legfontosabb prioritások a legutóbbi Android-frissítésekben, a titkosítás, az engedélyek és az adatvédelemmel kapcsolatos kezelés fejlesztései és módosításai a főcímek közé tartoznak. Más kezdeményezések, mint pl Project Mainline Android 10-hez célja a biztonsági frissítések felgyorsítása az Android-eszközök biztonságosabbá tétele érdekében. A Google szorgalmas és pontos volt a biztonsági javításokkal is, és bár ezek az erőfeszítések önmagukban dicséretre méltóak, mindig marad lehetőség a kihasználásokra és a sebezhetőségekre egy olyan operációs rendszerben, mint az Android. Mint kiderült, állítólag támadókat találtak, akik aktívan kihasználták az Android nulladik napi sebezhetőségét amely lehetővé teszi számukra, hogy átvegyék az irányítást bizonyos telefonok felett a Google, a Huawei, a Xiaomi, a Samsung és másoktól.
Google-é Projekt Zero csapatnak van feltárt információkat egy nulladik napos Android exploitról, amelynek aktív használatát a NSO csoport, bár az NSO képviselői tagadták, hogy ugyanezt használják nak nek ArsTechnica. Ez a kihasználás egy kernel privilégium-kiterjesztés, amely a utólagos használat sérülékenység, amely lehetővé teszi a támadó számára, hogy teljesen feltörje a sebezhető eszközt, és rootolhassa azt. Mivel az exploit a Chrome sandboxból is elérhető, a webes felületen keresztül is elérhető olyan kizsákmányolással van párosítva, amely a Chrome-ban található kódban lévő biztonsági rést célozza tartalom.
Egyszerűbb nyelven szólva, a támadó rosszindulatú alkalmazást telepíthet az érintett eszközökre, és a felhasználó tudta nélkül elérheti a root jogot, és mint tudjuk, az út ezután teljesen megnyílik. És mivel a Chrome böngészőben egy másik exploittal láncolható, a támadó is szállíthat a rosszindulatú alkalmazás a webböngészőn keresztül, így nincs szükség fizikai hozzáférésre a eszköz. Ha ez komolyan hangzik számodra, akkor ez azért van, mert minden bizonnyal az – a sebezhetőséget „Nagyon súlyos” besorolásúnak minősítették Androidon. Ami még rosszabb, ez a kizsákmányolás eszközenkénti testreszabást alig vagy egyáltalán nem igényel, és a Project Zero kutatóinak bizonyítékuk is van arra, hogy a kizsákmányolást vadon is használják.
A sebezhetőséget nyilvánvalóan 2017 decemberében javították ki a Linux Kernel 4.14 LTS kiadás de nyomkövető CVE nélkül. A javítást ezután beépítették a verziókba 3.18, 4.4, és 4.9 az Android kernelből. A javítás azonban nem került be az Android biztonsági frissítéseibe, így több eszköz sebezhetővé vált ezzel a hibával szemben, amelyet most CVE-2019-2215 néven követnek nyomon.
Az érintett eszközök „nem teljes” listája a következő:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG telefonok Android Oreo rendszeren
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Azonban, mint már említettük, ez nem egy teljes lista, ami azt jelenti, hogy számos más eszköz is valószínűleg érintette ez a biztonsági rés annak ellenére, hogy az Android biztonsági frissítései ugyanolyan újak, mint a szeptemberi 2019. A Google Pixel 3 és Pixel 3 XL, valamint a Google Pixel 3a és Pixel 3a XL állítólag biztonságban vannak ettől a biztonsági réstől. Az érintett Pixel eszközök biztonsági rését a közelgő, 2019. októberi Android biztonsági frissítésben javítják, amely egy-két napon belül életbe lép. Az Android-partnerek számára elérhetővé tettek egy javítást, "hogy biztosítsák az Android ökoszisztéma védelmét a problémával szemben", de látva, hogy bizonyos OEM-ek mennyire figyelmetlenek és figyelmetlenek a frissítésekkel kapcsolatban, nem tartanánk vissza a lélegzetünket, ha időben megkapnánk a javítást. módon.
A Project Zero kutatócsoport megosztott egy helyi proof-of-concept exploitot annak bemutatására, hogy ez a hiba hogyan használható fel tetszőleges kernel olvasási/írási elérésére helyi futás közben.
A Project Zero kutatócsoportja megígérte, hogy egy későbbi blogbejegyzésben részletesebb magyarázatot ad a hibáról és az azonosítás módszertanáról. ArsTechnica azon a véleményen van, hogy rendkívül csekély az esélye annak, hogy az ilyen drága és célzott támadások kihasználják őket; és hogy a felhasználóknak továbbra is tartózkodniuk kell a nem alapvető alkalmazások telepítésétől, és nem Chrome böngészőt kell használniuk a javítás telepítéséig. Véleményünk szerint hozzátennénk, hogy az is megfontolt lenne, ha a 2019. októberi biztonsági javítást keresnéd a készülékedhez, és azt mielőbb telepítenéd.
Forrás: Projekt Zero
Történet a következőn keresztül: ArsTechnica
Frissítés: A nulladik nap Android-sebezhetőségét a 2019. októberi biztonsági frissítés javította
CVE-2019-2215, amely a fent említett kerneljogosultság-eszkalációs sérülékenységgel kapcsolatos foltozva lett a... val 2019. októberi biztonsági javítás, kifejezetten 2019-10-06 biztonsági javítási szinttel, ahogy ígértük. Ha az eszközhöz elérhető biztonsági frissítés, azt javasoljuk, hogy mielőbb telepítse.
Forrás: Android biztonsági közlemény
Keresztül: Twitter: @maddiestone